当信息在“云端” 安全与隐私如何保障?

在Windows 7和Windows Server 2008 R2的RTM正式版发布之时就有很多人尤其是企业用户在期盼着SP1服务包的发布,“神马都是浮云”是一句网上流行语,“云计算”也是一个电脑技术的热词。不过,“云计算”可不是一朵浮云,它已是IT业无处不在的“密云”。只要接触网络,“云计算”无处不在:免费的杀毒软件发现问题会打出“提交云计算中心”;网上购物,在大量商品中挑选出一件最中意的与店家讨价还价,是“云计算”在背后支撑;登录网上银行,转账、支付、购买基金,用的也是“云计算”……

互联网时代,“云计算”技术引出的新话题:当数据、信息存储在物理位置不确定的“云端”,服务安全、数据安全与隐私安全如何保障?这些问题是否会威胁到个人、企业,以至国家的信息安全。

“‘云计算’是信息技术领域一次变革。”在不久前举行的“‘云计算’时代的国家信息安全战略”论坛上,中科院软件所研究员、信息安全国家重点实验室主任冯登国说。他认为,“云计算”带来的挑战表现在两个方面。一是“云计算”系统安全防护受到挑战。如果服务提供商可以随意处置用户数据,那么用户数据安全性与隐私面临巨大的问题。二是“云计算”对现有安全体系带来冲击。“云计算”平台可以为用户提供更强大的计算能力,但是“云计算”平台无法识别用户的目的,无法区分计算任务是合法任务还是非法任务,这会对现有计算体系带来冲击。

但是冯登国同时认为,信息安全技术是会随着时代变革而改革,包括应用模式、应用深度、使用方式的变化。因此,“云计算”在给信息安全带来挑战的同时,也给信息安全技术带来了许多变革的机遇。

工业和信息化部电信研究院互联网研究领域主席、通信标准所互联网中心主任何宝宏以“维基解密”事件为例:2010年11月底,当创建“维基解密”网站的阿桑奇在欧洲行踪不定躲避国际刑警的追捕时,“维基解密”网站也遭到了分布式拒绝服务攻击。之后为应对攻击,“维基解密”将网站流量从一家瑞典托管服务商转移到了位于法国和美国的服务器,其中包括亚马逊的云端,并重新上线。但是,很快亚马逊迫于政府的压力拒绝了向维基解密网站提供服务,但是亚马逊拿出的是商业理由。

何宝宏说,从技术上来讲,“云计算”是会被攻击,但是也会很快重新部署。从法律上来讲,涉及运营商是否需要审查用户存放的内容,运营商是否可以随时终止提供服务等问题。他认为保障“云计算”下的信息安全问题,至少需要法律、行政、行业自律、技术四个层面齐头并进。谈及法律层面,何宝宏指出,目前我们国家这方面法律缺失,比如监管信息通信所有行业行为的法制目前只有一个30多年前制定的《电信条例》,《电信法》从1981年提出制定历时30年还没有通过。360和腾讯事件之后,由工信部牵头制定的“互联网市场暂行条例”正在广泛征求意见,此外,还有一个关于个人信息保护条例也正在起草。

不过,何宝宏认为即使有法律法规出台也需要时间,所以之前可以利用行业协会、联盟组织做一些约束性保证,可以侧重在商业层面和市场竞争层面。

那么在“云时代”,是否能运用法律与技术相结合的方式来解决信息安全保障问题?

清华大学教授、高性能计算技术研究所所长杨广文认为“云安全”的技术是已经具备,是现成的,关键是怎么找一个“云安全”方案,把这种技术用起来。他提出,我国急需建立自主研发安全可靠的数据中心。目前许多发达国家,包括美国、日本,还有一些欧盟国家都在做大规模的数据中心。目前全球有16个国家,35个实验室,2.5万研究人员研究数据中心相关技术。

不过,杨广文也发现一种现象,就是“云计算”、“云安全”技术鱼目混珠。因为现在国家支持,所以许多技术没一丝改变,就忙着宣称自己在做“云”,这就像需要一个酒瓶子,结果拎来了一堆醋瓶子、油瓶子。